Двухфакторная аутентификация (2FA) для входа в кабинет

· чтения

2FA защищает ваш кабинет MaxSurge от взлома, даже если злоумышленник знает пароль. При входе нужен одноразовый 6-значный код из приложения-аутентификатора. Это критично, если в кабинете подключены MAX-аккаунты или CRM-интеграции — потеря пароля без 2FA означает полную потерю контроля.

Что понадобится

Приложение для генерации одноразовых кодов TOTP. Подойдёт любое из:

  • Google Authenticator — iOS/Android, бесплатно. Простое, никаких облачных бэкапов.
  • Authy — iOS/Android/Desktop, бесплатно. Облачная синхронизация между устройствами.
  • 1Password — платный менеджер паролей с встроенным TOTP.
  • Bitwarden — бесплатный менеджер паролей с TOTP (premium).
  • Microsoft Authenticator, FreeOTP — тоже подойдут.

Включение 2FA

  1. Откройте /app/settings/.
  2. Найдите карточку «Двухфакторная аутентификация», нажмите «Настроить 2FA».
  3. На странице /app/2fa/ появится QR-код. Откройте приложение-аутентификатор, нажмите «+» (добавить аккаунт) → «Сканировать QR-код» → наведите камеру на код.
  4. Приложение начнёт показывать 6-значный код, который меняется каждые 30 секунд.
  5. Введите текущий код в форму на странице → «Подтвердить и включить».
  6. Готово. 2FA включена.

Альтернатива QR-коду: на странице есть секрет в текстовом виде — можно ввести его в приложение вручную, если камера не работает.

Что меняется после включения

При следующем входе в /login MaxSurge после правильного email+пароля перенаправит на /login-2fa и попросит код из приложения. Без него вход не пройдёт.

Если вы вошли с одного устройства и потом заходите с другого — на новом устройстве код нужен снова.

Что делать если потеряли телефон с приложением

Если в Authy или 1Password — восстанавливаете аккаунт из облака, коды на месте.

Если в Google Authenticator без облачного бэкапа — без вторичного устройства восстановить нельзя. Поэтому при включении 2FA рекомендуется:

  • Записать секрет в надёжном месте (менеджер паролей, бумажный сейф).
  • Завести второе устройство (рабочий ноут + личный телефон) — сканировать QR на оба сразу.

В крайнем случае — пишите в @beliaevd, отключим 2FA вручную после проверки личности.

Отключение 2FA

На странице /app/2fa/ нажать «Отключить 2FA» и ввести текущий код для подтверждения. После этого вход снова идёт только по паролю.

Безопасность секрета

TOTP-секрет хранится у нас в БД в зашифрованном виде. Никто из команды MaxSurge не может посмотреть его в открытом виде — это техническое ограничение. Поэтому если вы потеряли доступ — мы не можем «прислать вам секрет», мы можем только отключить 2FA после подтверждения личности (паспорт + последняя оплата).

Готовы применить на практике?
7 дней бесплатно, без привязки карты.
Создать аккаунт
Все статьи
Следующая статья →
Чистка MAX-аккаунта и установка 2FA через кабинет
Остались вопросы? Напишите в поддержку или загляните в FAQ.